Page 1 of 1
SSH Brutforce
Posted: 2006-08-27 16:03
by carsten_s
Hallo,
ich neheme ja eure hilfe nur sehr selten in Anspruch. Aber aktuell habe ich log einträge die mich doch etwas beunruhigen:
Code: Select all
Aug 26 23:34:25 a15205365 kernel: "SSH-Bruteforce"IN=eth0 OUT= MAC=00:40:63:c4:2e:ef:00:0f:24:34:24:7f:08:00 SRC=62.73.174.110
DST=ip.des.severs.80 LEN=64 TOS=0x00 PREC=0x00 TTL=53 ID=49572 DF PROTO=TCP SPT=35692 DPT=22 WINDOW=5840 RES=0x00 ACK URGP=0
Kann mir einer deuten was das bedeutet?
Re: SSH Brutforce
Posted: 2006-08-27 16:41
by oxygen
nichts. Schalt einfach das logging deiner Firewall ab, oder besser schalt die Firewall ganz ab.
Re: SSH Brutforce
Posted: 2006-08-27 16:56
by grandcat
oxygen wrote:... oder besser schalt die Firewall ganz ab.
Das ist, meines Erachtens, nicht so empfehlenswert
Re: SSH Brutforce
Posted: 2006-08-27 17:38
by captaincrunch
Das ist, meines Erachtens, nicht so empfehlenswert
Meinungen sind wie Nasen: jeder hat eine.
Re: SSH Brutforce
Posted: 2006-08-27 17:56
by carsten_s
Hallo,
erstmal besten Dank für den Hinweis. Also kann man diese Meldung vernachlässigen.
Re: SSH Brutforce
Posted: 2006-09-22 17:18
by buddaaa
Carsten_s wrote:Hallo,
ich neheme ja eure hilfe nur sehr selten in Anspruch. Aber aktuell habe ich log einträge die mich doch etwas beunruhigen:
Code: Select all
Aug 26 23:34:25 a15205365 kernel: "SSH-Bruteforce"IN=eth0 OUT= MAC=00:40:63:c4:2e:ef:00:0f:24:34:24:7f:08:00 SRC=62.73.174.110
DST=ip.des.severs.80 LEN=64 TOS=0x00 PREC=0x00 TTL=53 ID=49572 DF PROTO=TCP SPT=35692 DPT=22 WINDOW=5840 RES=0x00 ACK URGP=0
Kann mir einer deuten was das bedeutet?
na Du wirst eine iptables-regel die wiederholte SSH-versuche abblockt, z.b.:
Code: Select all
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH-Bruteforce"
d.h. da versucht jemand alle paar sekunden ein SSH-login. ist unbedenklich solange alle passwoerter von Dir und Deinen usern gut sind, ansonsten nicht ;)
empfehlung: ssh auf einen anderen port als 22 legen, dann haste solche probleme nicht.
Re: SSH Brutforce
Posted: 2006-09-22 18:16
by daemotron
buddaaa wrote:empfehlung: ssh auf einen anderen port als 22 legen, dann haste solche probleme nicht.
Security by obscurity... :?:
Wer vorher einen Portscan macht, findet SSH auch auf Port 4711 oder wo auch immer... Lieber auf dem Standard-Port lassen, dafür aber auf Public Key Authentifizierung umstellen. Dann kann sich das Script-Kiddy die Zähne dran ausbeißen...
Just my 0,02€
Re: SSH Brutforce
Posted: 2009-01-02 23:44
by silent85
Aber auf Port xxxx haste Kosmetisch schon weniger einträge in den Logs